Por: Juan Manuel Aguilar Antonio*
El pasado 23 de enero, del presente año, la cuenta de Twitter de la organización Bank Security (@Bank_Security) realizó la publicación de un anunció de un usuario de la dark net o red oscura subastando dos bases de datos de importantes instituciones bancarias que realizan operaciones en México: BBVA Bancomer, con un total de 3 millones registros, y Santander, con un 1 millón de datos de usuarios. Con base a la información proporcionada por dicho agente, ambas bases incluían información personal, números de teléfono y demás información sensible.
Dicho evento podría parecer anodino para cuestiones de seguridad informática y regulaciones en torno a ciberdelitos en nuestro país, si el periodista Rodrigo Riquelme no hubiera documentado en un artículo de diciembre de 2020, en El Financiero, como un post en la cuenta de la misma organización alertó el 26 de noviembre que un ciber delincuente había puesto en subasta una base de accesos de administración de red y 10 GB de datos confidenciales de la Comisión Nacional de Seguros y Fianzas (CNSF), hecho que procedió a la detección de un ciberataque de ransomware Lockbit en dicha institución, tan sólo dos días después. El mensaje de Bank Security estuvo acompañado de una alerta emitida a las cuentas institucionales del CERT de la Guardia Nacional y la UNAM, que no tomaron acciones para evitar el incidente.
Este suceso materializa las severas carencias, retos y amenazas que enfrenta el sector bancario y financiero en México. En relación a este contexto, la Organización de los Estados Americanos (OEA) publicó en 2019 el informe Estado de la Ciberseguridad en el Sistema Financiero Mexicano que presenta el contexto de que ninguna institución está exenta de sufrir ciber incidentes en el país. Según cifras de este reporte, 43% de instituciones financieras de gran tamaño han sufrido incidentes exitosos, mientras que la de tamaño medio poseen una cifra de 15% y las pequeñas de 6%. En conjunto, en los últimos cinco años un total de 180 instituciones financieras han sido víctimas de ciberataques en el país.
Por su parte, el National Cyber Security Index de la E-Governance Academy de Estonia, institución centrada en analizar las mejores prácticas en el desarrollo de la gobernanza electrónica y la ciberseguridad, otorgó en su más reciente medición de 2021 una calificación de 33.77 puntos, sobre un total de cien, a México. En dicha métrica destaca la calificación obtenida en indicadores como protección de servicios digitales (20 puntos de cien), servicios de identificación electrónica y de confianza (22 puntos), respuesta a incidentes cibernéticos (50 puntos), gestión de crisis cibernéticas (20 puntos) y lucha contra el ciberdelito (78 puntos).
Dichos resultados se empatan y explican ciber incidentes que han tomado por sorpresa también a gran cantidad entidades públicas como el Sistema de Pagos Electrónicos Interbancarios (SPEI), del Banco de México (BM), en 2018, Petróleos Mexicanos (PEMEX), en 2019, y la Secretaría de Economía, en 2020. Frente a estos eventos, la Estrategia Nacional de Ciberseguridad (ENCS) de México, publicada en 2017, demuestra no corresponder a los retos y amenazas provenientes del ciberespacio. Y que sobra decir, tampoco son prioridad del actual gobierno. No obstante, destacan los debates y propuestas legislativas generados en la Cámara de Diputados y Senadores, dónde se han presentado tres iniciativas para mejorar las capacidades del país frente al contexto de ciber amenazas y delitos que son la propuesta de reforma a la Ley de Seguridad Nacional en 2020, de la Diputada María Eugenia Hernández. La iniciativa de Ley de Seguridad Informática, en 2019, de la Senadora Lucía Trasviña. Y la iniciativa de Ley General de Ciberseguridad, en 2020, del Senador Miguel Mancera.
La fortaleza de cada una de estas propuestas destaca en poner ante el escrutinio público y de los tomadores de decisiones la necesidad de volver a la ciberseguridad un elemento central de la seguridad nacional y seguridad pública. Con ellas, se han dado los primeros pasos para crear un marco legal que sirva para delimitar las ciberamenazas y ciberdelitos que vulneran al Estado, iniciativa privada, sociedad civil y ciudadanía. Sin embargo, queda un largo trecho de construcción de cibercapacidades en nuestro país, que sólo podrá subsanarse con la distribución de responsabilidades compartidas y compromiso de cada sector para la ciberseguridad. Así como con la modernización de la ENCS de México y la creación de una Ley Nacional de Ciberseguridad que dote a las instituciones de los instrumentos mínimos necesarios para combatir los riesgos provenientes del ciberespacio.
*Candidato a Doctor por la FCPyS de la UNAM y Oficial de Comunicación del CASEDE.
